Il settore del cloud computing sta affrontando una crisi di fiducia legata alla gestione della sicurezza e dei costi. Il caso di Jesse Davies, fondatore di Agentic Labs, è emblematico: l'uomo si è svegliato con un debito di 25.672,86 AUD (circa 18.391 USD) accumulato in una sola notte.
Nonostante Davies avesse adottato precauzioni standard come l'autenticazione a due fattori e chiavi API separate per progetto, un unico punto debole ha reso vani tutti i suoi sforzi. L'attaccante non ha rubato direttamente una chiave, ma ha individuato un vecchio servizio Cloud Run pubblicato mesi prima tramite AI Studio.
I dettagli dell'attacco a Jesse Davies su Google Cloud
Considerando che la URL era pubblica e l'API key era memorizzata in testo semplice come variabile d'ambiente, l'hacker ha potuto inviare oltre 60.000 richieste. Il sistema proxy di Google ha firmato ogni richiesta per conto dell'attaccante, esaurendo in pochi minuti il budget di 10 dollari australiani e continuando a fatturare cifre astronomiche.
L'aspetto più inquietante della vicenda riguarda i meccanismi di protezione di Google Cloud. Davies ha identificato ben nove funzioni di sicurezza che avrebbero potuto prevenire il disastro, ma che risultano disattivate di default.
Inoltre, Google ha effettuato un upgrade automatico del "Tier" dell'account durante l'attacco: quando la spesa ha superato i 1.000 dollari, il sistema ha alzato il tetto massimo di spesa da 2.000 fino a una cifra compresa tra 20.000 e 100.000 dollari, senza inviare alcuna notifica all'utente
Il caso Davies non è isolato: altri utenti si sono lamentati della sicurezza di Google Cloud
L'esperienza di Davies non è isolata. Su Reddit, altri utenti hanno segnalato casi simili, con fatture arrivate fino a 128.000 dollari. La società di sicurezza Truffle Security ha avvertito che il formato unico delle chiavi API di Google rappresenta un rischio sistemico: quando le API di Gemini vengono attivate su un progetto esistente, le vecchie chiavi diventano automaticamente credenziali per l'IA, esponendo gli account a costi fuori controllo.
Went to bed with a $10 budget alert. Woke up to $25,672.86 in debt to Google Cloud.
by u/venturaxi in googlecloud
Sebbene nel caso di Davies Google sembri intenzionata a condonare il debito, l'incidente solleva dubbi urgenti sulla responsabilità dei fornitori cloud.
